元情シス部員の頑張るIT

元情シスで現コンサル。マジ使えないと言われても頑張ります。

ハニポ作ってみることにした

ボスの紹介でとあるセキュリティのコミュニティに参加してます。

そこで、ハニーポット(ハニポ)を作って運用してみようWGがあるので、勉強がてら自分でも作ってみようと思い立った。

 

ハニポとは何か

ハニーポット - Wikipedia

ハニーポット (英語: Honeypot) は、コンピュータセキュリティ用語としては、不正アクセスを受けることに価値を持つシステムのことを指す。元来は「蜜(の詰まった)壷」の意味で、何らかの有益そうな情報や資源がありそうな場所を用意して、それにつられた者を観察したり、肝心な部分で被害を出さないために目をそらせたり、コンピュータ・フォレンジックスを行うための証拠を集めたりする、一種のおとり手法に使われる。手法そのものをハニーポットと呼ぶこともある。

昔っからハニポはありました。研究もそうだし、趣味でやってる人も多いです。

かく言う自分も大学のときにハニポ的なものを作ってました。

簡単に言うとサイバー攻撃の挙動を調べようというものです。

 

モチベーション

いくつかありますが、大きくは以下の3点です。

  • 専門家と喋れるサイバーの知見を持つ
  • 最近のサイバー空間の状況を肌で感じる
  • テクノロジーに触れる

この3つが達成できるなら何でも良かったのですが、今回はハニポということで手を出してみようと思います。

 

では、どんなことが分かってくると嬉しいのだろうか。単純に分析しましたではつまらないので、もう少し深堀します。

 

白浜シンポジウムに参加したとき、MIRAIのネタがかなり賑わってました。

大規模DDoS攻撃を引き起こしたIoTボットネット:「Mirai」ソースコード徹底解剖−その仕組みと対策を探る (1/4) - @IT

MIRAIはTELNETを悪用というか狙ったマルウェアでIoT機器でボットネットを構築するもいうもの。

研究者も自分でハニポ作って調査してるらしい。

 

MIRAIは一例ですが、攻撃者がは標的に対して何を仕掛けてくるのか、サーバ上でどんなファイルとかディレクトリを見に行くのか。それが分かってくると、自ずと対策の観点も見えてくるはず。権限周りとか、認証の仕組みとか。

 

それをリアルタイムでフレームワーク化し、最新のものにアップデートしていく。これは商材になるはず!

 

ということで、まずは最新の脅威を知り、対策の勘所を押さえていくことから始めたいと思います。

 

環境の構築

 この辺を参考に。

EC2上にHoneypot(T-Pot)をインストールして、サイバー攻撃をELKで可視化してみた - Qiita

 

目的と手段が逆転しないように、頑張ってみようと思います。

AWSに怒られるかもしれませんが、まぁやってみます。

 

以上